商用密码产品主要类别及应遵循安全等级标准对照表
商用密码应用与安全性评估 导语 密码是国之重器,是网络空间安全体系的基石,在网络安全防护中具有不可替代的重要作用。但密码技术只有得到合规、正确、有效应用,才能发挥安全支撑作用。而在实际应用中,密码技术可能被弃用、乱用、误用,导致应用系统的安全性得不到有效保障,甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏,造成比不用密码技术更广泛、更严重的安全问题。商用密码应用安全性评估(简称“密评”)正是为了避免或纠正密码应用过程中可能出现的安全性问题。密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样,密评也是密码应用管理过程的重要组成部分和不可缺失的环节。密评的重要性和必要性还在于:密评是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。建立完善密评制度,开展密评工作,是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革的重要手段,是商用密码管理的基础性和开创性工作,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。 一、对商用密码的管理 商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。
1、密码的分类 根据《中华人民共和国密码法》第6、7、8条:密码分为核心密码、普通密码、商用密码。 ?核心密码、普通密码: 用于保护国家秘密信息。 核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。 ?商用密码用于保护不属于国家秘密的信息。 由上述密码分类方式知,大众消费类产品所采用的密码,也属于商用密码。 2、旧条例对商用密码的专控管理 对于商用密码产品的管理,我印象非常深刻的是:1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”。当初的这条规定,意味着所有的商用密码产品都要受到专门控制,包括大众消费类产品所采用的商用密码。比如说,某个人想使用自编的小加密程序,来加密自己的隐私数据,也需经过国家密码管理机构的认可。这在实际操作中完全是不可行的。对此,笔者一直非常困惑。 3、新密码法对商用密码的管理
商用密码产品生产管理规定 第一条为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。 第二条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。 第三条商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。 第四条商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 第五条国家密码管理局主管全国的商用密码产品生产管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第六条国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。 商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。 第七条国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。 指定商用密码产品生产定点单位的程序如下:
(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构; (二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见; (三)国家密码管理局对通过初审的单位进行实地考察; (四)国家密码管理局作出指定决定并告知指定结果。 第八条被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。 《商用密码产品生产定点单位证书》有效期3年。 第九条商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。 第十条国家密码管理局对商用密码产品生产定点单位进行年度考核。 商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。 考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。 取得《商用密码产品生产定点单位证书》未满6个月的,不参加该
护士层级划分标准、能力要求及工作职责 项目 划分标准 能力要求工作职责层级 职称学历护龄 大中专护龄≤ 2 年 1 . 掌握护理相关法律法规。 1 . 在护士长及上级护士的指 统招本科护龄≤ 1 年 2 . 掌握医院及科室各项规章制导下完成各项护理工作。 度。 2 . 按要求完成病情观察及护3 . 掌握各班次护理人员岗位职理记录。 责及岗位要求。 3 . 参与危重病人的抢救工 4 . 熟悉科室护理常规、健康教育作。 N0护士 内容及应急预案。 4 . 参加岗前培训及护士在职 5 . 能正确独立完成基础护理操培训。 统招硕士护龄≤1年 作,在上级护士指导下正确执行 5 . 能有针对性对分管患者进 专科护理技术操作。行健康教育。 6 . 具有良好的护士形象和行为。 7 . 按要求参加医院及科室的业务 学习、技能培训、护理查房等。 8 . 本层级的各项考试合格。 大中专 2 年<护龄≤ 4 年 1 . 掌握护理基础理论知识,能熟 1 . 在护士长及上级护士的指统招本科 1 年<护龄≤ 3 年练运用护理技术。导下完成各项护理工作,并
2 . 熟悉专科护理常规及专科操作能指导下级护士工作。 技能。2 . 按要求完成病情观察及护 N1护士 3 . 具备用药观察、指导康复锻炼、理记录。 护师开展健康教育、营养指导及心理 3 . 参与危重病人的抢救工统招硕士 1 年<护龄≤ 2 年 护理的能力。作。 4 . 落实患者防坠床、防跌倒、防 4 . 落实患者安全管理目标。 压疮、防管路滑脱、约束等安全 5 . 参加护士在职培训及护 防护措施,确保患者安全。理查房。 1
护士N2 护师 5 . 能正确观察并评估患者病情、 准确记录并能配合医生进行抢 救。 6 . 能按照护理程序完成岗位工 作,并能指导下级护士工作。 7 . 具有良好的护士形象和行为。 8 . 按要求参加医院及科室的业务 学习、技能培训、护理查房等。 9 . 本层级的各项考试合格。 10. 参与科室教学工作。 11. 参加院内科研活动。 大中专 4 年<护龄≤ 10 年 1. 掌握专科护理常规及专科操 作 统招本科 3 年<护龄≤ 5 年技能。 2 . 能评估患者的健康需求,与患 者共同制定护理计划。 3 . 有分析判断患者病情的能力, 护理措施得当,记录准确。 4 . 能熟练地配合危重患者的抢救 工作,熟练地使用、保养各种仪 器设备。 统招硕士 2 年<护龄≤ 4 年 5 . 具备用药观察、指导康复锻 炼、 开展健康教育、营养指导及心理 护理的能力。 6 . 能按照护理程序完成岗位工 作,并能指导下级 7 . 具有良好的护 8 . 按要求参加或 的业务学习、技能 房等。
一、目的: 工厂产品及产品用料检验工作,规范检验过程的判定标准和判定等级,使产品出货的品质满足顾求,确保本工厂产品和产品用料品质检验工作的有效性。 二、本标准的适用范围: 本标准适用采妮工厂所有生产的产品及产品用料的品质检验。 三、权责: 1、品质部:检验标准及检验样本的制定,产品检验及判定、放行。 2、生产车间、物控部:所有产品及产品用料报检和产品品质异常的处理。 3、总经理:特采出货及特采用料的核准。 四、定义 1、首饰类: A、项链/手链/腰链B、耳环C、胸针D、介子E、手镯 F、发夹 G、手表带 H、领夹 I、袖口钮/鞋扣钮 J、皮带扣 K、其他配件类(服装、皮包、眼镜等等) 2、产品用料: A、铝质料类B、铜料类C、铅锡合金D、锌合金E、铁质料类 F、钛金属 G、皮革类 H、不锈钢类 I、水晶胶类 J、包装用料类 K、硅料类(玻璃珠、玻璃石、宝石、珍珠、玛瑙) 3、客户品质等级分类及说明: 1)客户品质等级分类: 品质部根据客户订单注明的: “AAA ”、“AA”、“A”三个等级分别对客户品质标准进 行分类。 2)客户品质等级说明: A、“AAA”: 品质标准要求比较严格,偏高于正常标准和行业标准。 B、“AA”: 品质标准要求通用国际化标准和行业标准吻合。 C、“A”: 品质要求为一般市场通用品质标准。
4、原材料及产品检验准则与判定标准: 1)不合格判定等级、判定标准的定义: A、严重缺陷(Critical 简称为CR): 产品不良项目危害到消费者健康或安全,或者是影响产 品设计或产品使用寿命的不良项目。 B、主要缺陷(Major 简称为MA): 产品不良项目直接影响产品功能,产品尺寸规格异常,产 品的设计不符合客人要求等。 C、轻微缺陷(Minor 简称为MI):产品不良项目为轻微的瑕疵,但不影响产品使用价值、功能、 和经济效益。 D、允收(Accept简称为Ac)、拒收(Reject简称为Re)。 E、抽样标准和允收水平:MIL-STD-105D、Ⅱ、正常单次抽样水平,进料抽检为:AQL 值CR:0, MAJ:2.5,MIN4.0,出货抽检为: AQL 值CR:0,MAJ:1.5,MIN4.0。 F、制程检验由品质部根据产品生产工艺和客人品质要求合理给予安排抽检或全检。 2)产品品质控制方式: A、产品品质控制分三步策划:进料品质控制、制程品质控制、出货品质控制。 B、检验方式:检验方式是根据生产车间规划和产品加工工艺特性确定,具体安排如下: a、抽检的环节有: 原材料入仓,合金压铸和五金啤件,合金倒模出装配/抛光,成品装 配,成品包装环节入库。 b、全检的环节有: 合金粘石环节、滴油环节,合金装配直接下电镀、打磨后直接下电镀 加工的,各环节样板出货,铜产品打磨直下电镀,电后出包装的货全检。 c、首件检验: 合金装配/粘石/滴油/包装,各环节,根据各货品的结构的复杂程度自行决定, 结构简单的货品不做首件,结构复杂的款式,需提供首件确认. C、检验标准来源:客人订单资料、客人要求、工程相关资料、生产做货指引、相关法律法规 要求、行业标准、国际标准、工厂内部品质管理规定的品质检验标准。 D、所有经过检验的产品无论良品或不良品都要有明确的标识和记录。 E、检验过程不良率以品检日报的形式通报,批量不良率超过30%视情况记入重大品质异常 跟踪处理,所有重大品质异常责任单位必须以月份为单位原因分析、改善对策,发出 异常的单位定期跟踪其改善效果的确认。 3 ) 原材料检验标准及相关要求: 倒模用的铜料类、铅锡合金、锌合金检验标准和品质要求: A、用料以客人订单要求为准,成份含量参考供应商自检报告。
国产密码算法及应用 商用密码,是指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。 商用密码的应用领域十分广泛,主要用于对不涉及国家秘密容但又具有敏感性的部信息、行政事务信息、经济信息等进行加密保护。比如各种安全认证、网上银行、数字签名等。 为了保障商用密码安全,国家商用密码管理办公室制定了一系列密码标准,包括SSF33 SM1(SCB2、SM2、SM3、SM4、SM7、SM9、 祖冲之密码算法等等。其中SSF33 SM1、SM4 SM7、祖冲之密码是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。 目前已经公布算法文本的包括SM2椭圆曲线公钥密码算法、SM3 密码杂凑算法、SM4分组密码算法等。 一、国密算法简介 1. SM1对称密码 国密SM1算法是由国家密码管理局编制的一种商用密码分组标准对称算法,分组长度为128位,密钥长度都为128比特,算法安全强度及相关软硬件实现性能与AES相当,算法不公开,仅以IP核的形式存在于
芯片中。 采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 2. SM2椭圆曲线公钥密码算法 SM2算法就是ECC椭圆曲线密码机制,但在签名、密钥交换方面不同于ECDSA ECDH等国际标准,而是采取了更为安全的机制。国密 SM2算法标准包括4个部分,第1部分为总则,主要介绍了ECC 基本的算法描述,包括素数域和二元扩域两种算法描述,第2部分为数字签名算法,这个算法不同于ECDSA算法,其计算量大,也比ECDSA 复杂些,也许这样会更安全吧,第3部分为密钥交换协议,与ECDH 功能相同,但复杂性高,计算量加大,第4部分为公钥加密算法,使用ECC公钥进行加密和ECC私钥进行加密算法,其实现上是在ECDH 上分散出流密钥,之后与明文或者是密文进行异或运算,并没有采用第3部分的密钥交换协议产生的密钥。对于SM2算法的总体感觉,应该是国家发明,其计算上比国际上公布的ECC算法复杂,相对来说算法速度可能慢,但可能是更安全一点。 设需要发送的消息为比特串M , len为M的比特长度。为了对明文M进行加密,作为加密者的用户应实现以下运算步骤:步骤1:用随机数发生器产生随机数k€ [1, n -1]; 步骤2:计算椭圆曲线点C仁[k]G=(X1 , Y1 ),将C1的数据类型转换为
CaiNi accessories factory
第 1 页 共 1 页
采 妮 饰 品 厂
产品品质检验标准
一、目的: 产品及产品用料检验工作,规范检验过程的判定标准和判定等级,使产品出货的品质满足顾 确保本工厂产品和产品用料品质检验工作的有效性。 二、本标准的适用范围: 本标准适用采妮工厂所有生产的产品及产品用料的品质检验。 三、权责: 1、品质部:检验标准及检验样本的制定,产品检验及判定、放行。 2、生产车间、物控部:所有产品及产品用料报检和产品品质异常的处理。 3、总经理:特采出货及特采用料的核准。 四、定义 1、首饰类: A、项链/手链/腰链 F、发夹 G、手表带 B、耳环 H、领夹 C、胸针 D、介子 E、手镯 J、皮带扣
规范工厂
客需求,
I、袖口钮/鞋扣钮
K、其他配件类(服装、皮包、眼镜等等) 2、产品用料: A、铝质料类 F、钛金属 B、铜料类 G、皮革类 C、铅锡合金 H、不锈钢类 D、锌合金 E、铁质料类 J、包装用料类
I、水晶胶类
K、硅料类(玻璃珠、玻璃石、宝石、珍珠、玛瑙) 3、客户品质等级分类及说明: 1)客户品质等级分类: 品质部根据客户订单注明的: “AAA”、“AA”、“A”三个等级分别对客户品质标准进 行分类 。 2)客户品质等级说明: A、 “AAA”: 品质标准要求比较严格,偏高于正常标准和行业标准。 B、 “AA”: 品质标准要求通用国际化标准和行业标准吻合。 C、 “A”: 品质要求为一般市场通用品质标准。
第 1 页 共 1 页
网络信息安全控制技术中的商用密码应用 发表时间:2018-05-06T11:44:01.447Z 来源:《防护工程》2017年第36期作者:朱洪标 [导读] 我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品。 成都卫士通信息安全技术有限公司四川成都 610000 摘要:在互联网快速发展的过程中,网络信息安全问题也开始涌现出来,网络信息安全控制技术也变得至关重要,可以确保网络信息安全传递,维护计算机用户的隐私安全和数据安全。在互联网技术快速发展的过程中,要合理有效的运用网络信息安全控制技术,才能确保网络信息安全,减少计算机用户一些不必要的经济损失。本文主要针对网络信息安全控制技术进行分析,以供参考。 关键词:网络信息;安全控制技术;商用密码;应用 1 网络信息安全控制技术安全问题的现状? 当前,我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品,据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。每年都有大量的信息泄露事件发生,例如2017年58同城全国简历泄露事件等,信息泄露事件每年的发生逐年增多,例如2017年就比2016年增加了10%的信息泄露事件。特别是中国的信息安全在以思科为代表的美国八大金刚(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数金融政府核心领域,这八家企业都占据了庞大的市场份额。作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国八大金刚面前。 2 商用密码的现状 商用密码,是指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。 自1999年中国发布《商用密码管理条例》对商用密码进行管理以来,截止2017年,中国已经出台了相关法规及条例等9个,国产商用密码算法6种,商用密码产品达1000多个品种,商用密码生产单位超过800家,相关从业人员达到10万以上。 3网络信息安全控制技术与商用密码的结合 3.1方案设计 在网络信息安全控制技术的方案设计中应考虑以重要数据全生命周期安全防护为目标,强调过程控制和范围保护。以密码技术为基础,密级标识为抓手,对重要数据进行分级、分类管控以强化应用为辅助,流程控制为纽带,对重要数据的使用、处理进行管控引入新技术、新平台,优化和改造现有等保安全防护架构,同时做到多场景、多层级、多类型重要数据处理终端的集中管控;移动办公、虚拟化桌面场景下重要数据的安全保护;各种非结构化数据集中化、流程化的安全管控。 我们通常以密码服务为基础采用加解密、签名验签技术,通过密级标识、证书认证、存储加密、传输加密来实现对计算环境和网络环境的安全保证,最终实现应用及数据的安全。以下举例说明: 3.2非结构化数据安全 我们可以将重要数据划分为普通商密和核心商密,需要针对普通商密、核心商密的产生、使用、流转、存储过程均提出不同强度的加密要求,因此采用密码技术对重要数据的全生命周期进行保护成为当然之选。充分利用现有密码设备或部署相应的密码服务基础设施可以从密级标识、认证授权、密码防护和审计追踪、多个维度,对重要数据的全过程安全管控提供密码服务支持,保障重要数据的保密性、完整性和不可抵赖性。尤其是电子文件密级标识为解决非结构化数据文件密级管理和使用管控提供了有力的抓手,使其它业务系统在使用或处理这些数据文件时,可以快速识别出其密级,按最小化原则控制其知悉范围,从而实现有效管控。 3.2结构化数据安全 对于原有业务应用因历史沿革,自身固有的传统缺陷、难以快速修正和弥补的现状,采用办公基础安全支撑平台对各办公业务应用进行安全加固可以很好的解决这个问题。通过安全支撑平台可以为应用提供统一的安全防护支撑,可与业务系统松耦合对接,为应用提供安全、管理、服务和审计功能。将电子文件密级标识传递到业务系统中,依据密级管理要求由业务系统进行电子文件管控;通过安全支撑平台可集成CA提供统一认证和授权服务,提供应用安全策略配置与日志采集服务,还可灵活调用密码设施对应用数据的传输和存储进行加密保护;安全支撑平台采用C/S架构,服务端作为提供基础安全服务的平台为应用提供后台支撑,客户端则作为接收端,接收平台下发的策略,结合服务端共同对各应用客户端进行安全防护。 在方案设计时应充分考虑发挥密码技术在信息防泄漏方面的特性,将密码设施所提供的加解密以及签名认证封装成标准化的密码服务,业务系统产生的明文文件,通过调用安全保障设施中的密码服务,对其进行加密和完整性保护,客户端获取到加密文件可以在受控环境中进行透明的访问和使用。对于拷贝、另存以及剪贴板等方式产生的其它文件同样加以控制,用户如果私自将重要数据电子文件传出到受控环境之外,将因为无法访问到相应的密码服务而显示成乱码或根本无法打开。另外在安全保障基础设施中还部署了电子文件密级标识系统,将密级标识封装成中间件服务,使得经过定密的文件在应用系统中可以被识别出密级,按照对应密级文件的管理要求进行流向的控制和范围的控制,实现了更具操作性的密件保护手段,结合终端认证、用户认证,更好的对重要数据电子文件进行安全管控。
企业质量信用等级评价分类标准 企业质量信用监管指标主要由质量、标准、计量、认证、出口检验方面的指标构成。根据企业质量信用指标反映的不同情况将企业质量信用等级分为A、B、C、D四级,分别代表守信、基本守信、失信、严重失信四级信用程度。 一、守信(A级)标准 严格遵守有关法律法规和诚实守信原则,企业质量保证、计量检测和标准化体系健全且运行有效,产品质量具有良好信誉。具体标准为: 1. 企业依法设立满3年,且3年内无产品质量、计量监督抽查不合格和监督检查不合格记录,无质量、计量违法、违规记录; 2. 产品按明示或承诺标准组织生产; 3. 产品质量稳定,产品出厂合格率达到100%;依法需要监督检验的,检验合格率为100%;出口企业在国际上有良好的质量信誉,检验检疫机构检验合格率达到100%; 4. 在产品质量上无虚假广告、对外提供的虚假数据和其他虚假宣传; 5. 当年无属于企业责任而引起的质量、计量投诉、索赔和退货,无因质量问题而导致的事故;
6. 按明示或承诺服务条款做好售后服务; 7. 实行行政许可管理的企业、产品获得行政许可资格; 8. 出口企业当年申报管理、符合性评定无不合格项。 二、基本守信(B级)标准 遵守有关法律法规、产品质量信誉较好,企业质量保证、计量检测和标准化体系健全,基本上能够兑现质量承诺的企业。具体标准为: 1. 企业依法设立满2年,且当年内未发生产品质量、计量监督抽查不合格或监督检查不合格记录,无质量、计量违法、违规记录; 2. 产品按明示或承诺标准组织生产; 3. 产品质量稳定,产品出厂合格率达到100%;依法需要监督检验的,检验合格率为100%;出口企业在国际上有较好的质量信誉,检验检疫机构检验合格率达到100%; 4. 在产品质量上无虚假广告、对外提供的虚假数据和其他虚假宣传; 5. 能够及时解决因企业责任而引起的质量、计量投诉、索赔和退货,无因质量问题而导致的事故; 6. 按明示或承诺服务条款做好售后服务; 7. 实行行政许可管理的企业、产品获得行政许可资格;
护士分层级管理方案 为全部落实优质护理服务,提高不同层次护士业务水平,优化整体护理,体现护理职业责任、职业价值,我院决定逐步建立完善护理人员分层级管理体系。以提高护理质量保障医疗安全。 一、指导思想 深化“以病人为中心”的服务理念,紧紧围绕改革护理模式,履行护理职责,提供优质服务,提升护理水平的工作宗旨,充分调动临床一线护士工作的积极性,为人民群众提供全程、全面、优质的护理服务,保障医疗安全,促进医患和谐。 二、实施原则 (一)根据护士工作能力,技术水平、工作年限、业务职称、学历水平等要素,将护士划分为四层使用(N0~N3),其中以工作能力作为分层的首要指标,其次为业务职称。 (二)通过综合能力考评确定人选。此外,将劳动纪律、病人满意度、职业道德、护理差错、护理理论及操作考核等纳入考评内容。 (三)可从低一层人员选拔优秀者承担高一层工作,对于能力水平,责任心达不到本层次的人员,可降低层次。 三、具体实施过程 (一)护理部制定护士分层次管理制度,制定能级对应与分层管理原则。
(二)组织护士长进行培训,内容主要是了解能级对应与分层管理的理念及实施的目的。 四、分层类别 N0级护士 N1级护士 N2级护士 N3级护士 五、分层标准 (1)N1级护士 1、选聘条件:大专、本科毕业,工作一年内的护士,中专毕业,工作二年内的护士。 2、工作重点:主要负责患者的基础护理和生活护理。 3、职责要求 ①能够熟练掌握基础护理的知识和技能,获得《护士执业证书》后独立完成基础护理的各项工作。 ②完成患者入院及出院的处理,健康教育,负责患者晨晚间护理;协助患者生活护理,整理床单位,为卧床患者翻身,按摩受压部位;处理排泄物;物品清洁消毒处理。 4、考核办法 护士长负责对N1级护士的业务考核,理论知识,考核每月1次,占40%,基础护理操作考核每月1次,占40%,科室考评每月1次,占20%,综合考评80分为合格。
商用密码应用安全性评估量化评估规则 中国密码学会密评联委会 二〇二〇年十二月
目录 1. 范围 (1) 2. 规范性引用文件 (1) 3. 原则 (1) 4. 量化评估框架 (1) 5. 量化规则 (2) 6. 整体结论判定 (3)
商用密码应用安全性评估量化评估规则 1.范围 本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 2.规范性引用文件 1)GB/T AAAAA《信息安全技术信息系统密码应用基本要求》 2)GM/T BBBB《信息系统密码应用测评要求》 3.原则 本文件按如下原则设计量化评估规则: 1)遵循法律法规和最新相关指导性文件的总体要求; 2)遵循GB/T AAAAA和GM/T BBBB; 3)鼓励使用密码技术; 4)特别鼓励使用合规的密码算法/技术/产品/服务; 5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。 4.量化评估框架 参考GM/T BBBB,本规则从三个方面进行量化评估: ●密码使用安全(Cryptography D eployment security)是指,密码技术是否被正确、有效使 用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护; ●密钥管理安全(K ey management security)是指,密钥管理的全生命周期是否安全,用 于密码计算或密钥管理的密码产品/密码服务是否安全。 ●密码算法/技术安全(Cryptography A lgorithm/Technique security)是指,信息系统中使用 的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信
附件1 商用密码产品认证目录(第一批) 序号产品种类产品描述认证依据 1智能密码钥匙实现密码运算、密钥管理功能的终端密码设备,一 般使用USB接口形态。GM/T0027《智能密码钥匙技术规范》GM/T0028《密码模块安全技术要求》 2智能IC卡实现密码运算和密钥管理功能的含CPU(中央处理 器)的集成电路卡,包括应用于金融等行业领域的 智能IC卡。 GM/T0041《智能IC卡密码检测规范》 GM/T0028《密码模块安全技术要求》 3POS密码应用系统 ATM密码应用系统 多功能密码应用 互联网终端 为金融终端设备提供密码服务的密码应用系统。 GM/T0028《密码模块安全技术要求》 JR/T0025-2018《中国金融集成电路(IC)卡规范 第7部分:借记贷记应用安全规范》 4PCI-E/PCI密码卡具有密码运算功能和自身安全保护功能的PCI硬件 板卡设备。《PCI密码卡技术规范》 GM/T0018《密码设备应用接口规范》GM/T0028《密码模块安全技术要求》 5IPSec VPN产品/ 安全网关基于IPSec协议,在通信网络中构建安全通道的设 备。 IPSec VPN产品: GM/T0022《IPSec VPN技术规范》 GM/T0028《密码模块安全技术要求》 IPSec VPN安全网关: GM/T0023《IPSec VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 —3—
序号产品种类产品描述认证依据 6SSL VPN产品/安 全网关基于SSL/TLS协议,在通信网络中构建安全通道的 设备。 SSL VPN产品: GM/T0024《SSL VPN技术规范》 GM/T0028《密码模块安全技术要求》 SSL VPN安全网关: GM/T0025《SSL VPN网关产品规范》 GM/T0028《密码模块安全技术要求》 7安全认证网关采用数字证书为应用系统提供用户管理、身份鉴 别、单点登录、传输加密、访问控制和安全审计服 务的设备。 GM/T0026《安全认证网关产品规范》 GM/T0028《密码模块安全技术要求》 8密码键盘用于保护PIN输入安全并对PIN进行加密的独立式 密码模块。包括POS主机等设备的外接加密密码键 盘和无人值守(自助)终端的加密PIN键盘。 GM/T0049《密码键盘密码检测规范》 GM/T0028《密码模块安全技术要求》 9金融数据密码机用于确保金融数据安全,并符合金融磁条卡、IC卡 业务特点的,主要实现PIN加密、PIN转加密、 MAC产生和校验、数据加解密、签名验证以及密 钥管理等密码服务功能的密码设备。 GM/T0045《金融数据密码机技术规范》 GM/T0028《密码模块安全技术要求》 10服务器密码机能独立或并行为多个应用实体提供密码运算、密钥 管理等功能的设备。GM/T0030《服务器密码机技术规范》GM/T0028《密码模块安全技术要求》 11签名验签服务器用于服务端的,为应用实体提供基于PKI体系和数 字证书的数字签名、验证签名等运算功能的服务 器。 GM/T0029《签名验签服务器技术规范》 GM/T0028《密码模块安全技术要求》 12时间戳服务器基于公钥密码基础设施应用技术体系框架内的时 间戳服务相关设备。GM/T0033《时间戳接口规范》 GM/T0028《密码模块安全技术要求》 —4—
测绘产品质量评定等级 测绘产品质量评定等级 1、Ⅰ等:优秀 测绘产品的所有精度指标,均达到并有80%的指标高于评定依据的规范指标,成果资料分类有序,管理妥善,仪器使用保养良好,没有出现项目由于服务等其他原因的投诉。 2、Ⅱ等:优良 测绘产品的所有精度指标,均达到并有50%的指标高于评定依据的规范指标,成果资料分类有序,管理妥善。仪器使用保养良好,没有出现项目由于服务等其他原因的投诉。 3、Ⅲ等:合格 测绘产品的所有精度指标,均达到或部分高于评定依据的规范指标,成果资料分类有序,管理妥善。仪器使用保养良好。 4、Ⅳ等:不合格 不合格测绘产品,根据其影响和是否造成损失分为:Ⅰ级为错误、Ⅱ级为质量事故。 1)、错误:测绘产品精度未达到评定依据标准,公司带来声誉影响,但未造成经济损失。 2)、质量事故:测绘产品精度未达到评定依据标准,给公司带来严重的声誉影响,造成经济损失。 错误:依据其对公司造成的影响分为一般错误、严重错误。 一般错误:在测绘生产过程中发生的孤立的,精度低于评定依据标准,但未造成经济损失,给公司带来声誉影响。 严重错误:在测绘生产过程中发生的批量的、大面积的、测绘产品精度严重低于评定依据标准,但未造成经济损,给公司带来严重的声誉影响。 质量事故:依据造成经济损失额度的大小分为:一般质量事故、严重质量事故。 一般质量事故:在测绘生产过程中发生的孤立的,精度低于评定依据标准,造成永久性缺陷,给公司带来严重的声誉影响,造成较小的经济损失。 严重质量事故:在测绘生产过程中发生的批量的、大面积的、测绘产品精度严重低于评定依据标准,造成永久性缺陷,给公司带来严重的声誉影响,造成严重的经济损失。 感谢您的阅读!
商用密码管理条例 第一章总则 第一条为了加强商用密码管理,保护信息安全,保护企业和商用密码产品用户的合法权益,制定本条例。 第二条本条例所称商用密码,是指对不涉及公司秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第二章科研、生产管理 第三条本公司是由国家密码管理机构指定的商用密码产品销售许可单位,具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。 第四条商用密码的科研成果,需要由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。 第六条生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。 第七条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。 第三章销售管理 第八条本单位已通过国家密码管理机构许可,可合法的销售商用密码产品。 第九条销售商用密码产品,应当严格按照国家密码局颁布的商用密码销售许可条例,并且应配备一下条件: (一)有熟悉商用密码产品知识和承担售后服务的人员; (二)有完善的销售服务和安全管理规章制度; (三)有独立的法人资格。 第十条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并及时的将登记情况报国家密码管理机构备案。(一个季度进行一次季报) 第四章使用管理 第十一条销售人员只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。 第十二条已购买商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,报废、销售商用密码产品,应指派专人进行维修、并向国家密码管理机构备案。 第五章安全、保密管理 第十三条商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品,应当采取相应的安全措施。 任职商用密码产品的科研、生产和销售的人员,必须对所接触和掌握的商用密码技术承担保密义务。 第十四条宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。 第六章附则
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。 密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。 关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以
及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。 密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。 密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
产品质量等级划分标准 一、目的: 适应公司产供销一体化要求,做为各部门间产品质量沟通的依据。 满足客户对产品质量的细则要求,适应市场新态势。 二、等级划分条件: 2.1产品的用途大致分为折弯类和拉伸类,客户的用途不同,对我们产品的质 2.2.1表面质量缺陷类: 2.2.1.1辊印:因轧辊表面受到损伤造成带钢表面有周期性印记,一般指跑偏或卷边、多层的带钢进入轧辊产生的印记(轧辊表面无其它黏附物)。 (1)轻微:面积小且无手感,小于1cm2 (2)一般:面积大于1m2且小于2cm2。且无手感。 (3) 严重:辊印有手感或面积大于2cm2。 2.2.1.2痘痕:残留在乳化液中或吸附在带钢表面上的较硬物质,使轧辊产生细小或者小块儿的凹坑.产生凹坑的轧辊轧制出的带钢表面就会产生周期性的凸起,称之为痘痕。 (1)轻微:数量极少(周期内小于3个),平整后无手感。 (2)一般:数量少(周期内小于5个),平整后无手感,清晰可见。 (3)严重:数量多(周期内大于5个),平整后有手感。 2.2.1.3凹坑:黏附在轧辊上的较硬物质使轧辊表面产生小块凸起,粘辊后的轧辊可能黏附着条线状、点状的钢带。使用产生凸起的轧辊轧制出的带钢表面会出现周期性的凹坑,。 (1)轻微:其深度小于厚度公差的1/4(轻微手感)。 (2)一般:其深度小于厚度公差的1/2(一般手感)。 (3)严重:其深度大于厚度公差的1/2(明显手感)。 2.2.1.4划伤/挫伤:带钢在各个机组运行中,因为张力辊、导向辊、过料台等部件上存在细小的凸起,与带钢发生局部摩或因张力辊、导向辊与带钢存在线速差,造成带钢表面产生间断或者不间断的浅沟,称为划伤。挫伤是带钢层间滑动产生的多处细小划伤。 (1)轻微:其深度小于厚度公差的1/4(轻微手感)。 (2)一般:其深度小于厚度公差的1/2(一般手感)。 (3)严重:其深度大于厚度公差的1/2(明显手感)。
商用密码产品使用管理规定 国家密码管理局公告 (第 8 号) 现公布《商用密码产品使用管理规定》,自2007年5月1日起施行。 国家密码管理局 2007年3月24日 商用密码产品使用管理规定 第一条为了规范商用密码产品使用行为,根据《商用密码管理条例》,制定本规定。 第二条中国公民、法人和其他组织使用商用密码产品的行为适用本规定。 第三条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 第四条国家密码管理局主管全国的商用密码产品使用管理工作。 省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。 第五条中国公民、法人和其他组织需要对不涉及国家秘密内容的信息进行加密保护或安全认证的,均可以使用商用密码产品。 使用商用密码产品,应当遵守国家法律,不得损害国家利益、社会公共利
益和其他公民的合法权益,不得利用商用密码产品进行违法犯罪活动。 第六条中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品,不得使用自行研制的或境外生产的密码产品。 国家密码管理局定期公布准予销售的商用密码产品目录。 第七条需要使用商用密码产品的,应当到商用密码产品销售许可单位购买。 购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证,说 明直接使用商用密码产品的用户名称(姓名)、地址(住址)以及产品用途, 提供用户组织机构代码证(居民身份证)复印件。 第八条需要维修商用密码产品的,应当交该产品的生产单位或销售单位维修。 第九条外商投资企业(包括中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司等)确因业务需要,必须使用境外生产的密码产 品与境外进行互联互通的,经国家密码管理局批准,可以使用境外生产的密码 产品。 外商投资企业申请使用境外生产的密码产品,应当事先填写《使用境外生 产的密码产品登记表》,交所在地的省、自治区、直辖市密码管理机构。 省、自治区、直辖市密码管理机构自受理申请之日起5个工作日内,对 《使用境外生产的密码产品登记表》进行审查并报国家密码管理局。 国家密码管理局应当自省、自治区、直辖市密码管理机构受理申请之日起 20个工作日内,对《使用境外生产的密码产品登记表》进行审核。准予使用的,发给《使用境外生产的密码产品准用证》。 《使用境外生产的密码产品准用证》有效期3年。 第十条使用境外生产的密码产品的外商投资企业的名称、地址、密码产品用途发生变更的,应当自变更之日起10日内,到所在地的省、自治区、直辖市密码管理机构办理《使用境外生产的密码产品准用证》更换手续。 第十一条外商投资企业终止使用境外生产的密码产品的,应当自终止使用之日起30日内,书面告知所在地的省、自治区、直辖市密码管理机构,并交回《使用境外生产的密码产品准用证》。 第十二条外商投资企业申请使用的密码产品需要从境外进口的,应当申请办理《密码产品进口许可证》。 密码产品入境时,外商投资企业应当向海关如实申报并提交《密码产品进 口许可证》,海关凭此办理验放手续。 第十三条用户不得转让其使用的密码产品。 第十四条违反本规定的行为,依照《商用密码管理条例》予以处罚。
CaiNi accessories factory 第 1 页共 1 页采妮饰品厂产品品质检验标准一、目的: 产品及产品用料检验工作,规范检验过程的判定标准和判定等级,使产品出货的品质满足顾确保本工厂产品和产品用料品质检验工作的有效性。二、本标准的适用范围: 本标准适用采妮工厂所有生产的产品及产品用料的品质检验。三、权责: 1、品质部:检验标准及检验样本的制定,产品检验及判定、放行。 2、生产车间、物控部:所有产品及产品用料报检和产品品质异常的处理。 3、总经理:特采出货及特采用料的核准。四、定义 1、首饰类: A、项链/手链/腰链 F、发夹 G、手表带 B、耳环 H、领夹 C、胸针 D、介子 E、手镯 J、皮带扣规范工厂客需求, I、袖口钮/鞋扣钮 K、其他配件类(服装、皮包、眼镜等等 2、产品用料: A、铝质料类F、钛金属 B、铜料类 G、皮革类 C、铅锡合金 H、不锈钢类 D、锌合金 E、铁质料类 J、包装用料类 I、水晶胶类 K、硅料类(玻璃珠、玻璃石、宝石、珍珠、玛瑙3、客户品质等级分类及说明: 1)客户品质等级分类: 品质部根据客户订单注明的: “AAA”、“AA”、“A”三个等级分别对客户品质标准进行分类。 2)客户品质等级说明: A、“AAA”: 品质标准要求比较严格,偏高于正常标准和行业标准。 B、“AA”: 品质标准要求通用国际化标准和行业标准吻合。 C、“A”: 品质要求为一般市场通用品质标准。第 1 页共 1 页 CaiNi accessories factory 第 2 页共 2 页采妮饰品厂产品品质检验标准 4、原材料及产品检验准则与判定标准: 1)不合格判定等级、判定标准的定义: A、严重缺陷(Critical 简称为 CR: 产品不良项目危害到消费者健康或安全,或者是影响产品设计或产品使用寿命的不良项目。 B、主要缺陷(Major 简称为 MA: 产品不良项目直接影响产品功能,产品尺寸规格异常,产品的设计不符合客人要求等。 C、轻微缺陷(Minor 简称为 MI:产品不良项目为轻微的瑕疵,但不影响产品使用价值、功能、和经济效益。 D、允收(Accept 简称为 Ac、拒收(Reject 简称为 Re。 E、抽样标准和允收水平:MIL-STD-105D、Ⅱ、正常单次抽样水平,进料抽检为:AQL 值CR:0, MAJ:2.5,MIN4.0,出货抽检为: AQL 值 CR:0,MAJ:1.5,MIN4.0。 F、制程检验由品质部根据产品生产工艺和客人品质要求合理给予安排抽检或全检。 2)产品品质控制方式: A、产品品质控制分三步策划:进料品质控制、制程品质控制、出货品质控制。 B、检验方式:检验方式是根据生产车间规划和产品加工工艺特性